Erzielen von Resilienz in einer Identitäts- und Zugriffsverwaltungsinfrastruktur
Microsoft Entra ID ist ein globales Cloudidentitäts- und -zugriffsverwaltungssystem, das wichtige Dienste wie Authentifizierung und Autorisierung für die Ressourcen Ihrer Organisation bereitstellt. Dieser Artikel stellt Ihnen eine Anleitung zur Verfügung, um das Risiko einer Unterbrechung der Authentifizierungs- oder Autorisierungsdienste für Ressourcen, die auf Microsoft Entra ID beruhen, zu verstehen, einzudämmen und zu mindern.
Der Dokumentsatz wendet sich an
- Identitätsarchitekten
- Identitätsdienstbesitzer
- Identitätsbetriebsteams
Weitere Informationen finden Sie auch in der Dokumentation für Anwendungsentwickler und für Azure AD B2C-Systeme.
Was ist Resilienz?
Im Zusammenhang mit Ihrer Identitätsinfrastruktur ist Resilienz die Fähigkeit, Unterbrechungen von Diensten wie Authentifizierung und Autorisierung oder den Ausfall anderer Komponenten mit minimalen oder gar keinen Auswirkungen auf Ihr Unternehmen, Ihre Benutzer und Ihren Betrieb zu überstehen. Die Auswirkungen von Ausfällen können schwerwiegend sein, und Resilienz erfordert eine sorgfältige Planung.
Warum sollte über Unterbrechungen nachgedacht werden?
Für jeden Aufruf des Authentifizierungssystems können Unterbrechungen auftreten, wenn für eine Komponente des Aufrufs ein Fehler auftritt. Wenn die Authentifizierung aufgrund der Fehler für die zugrunde liegenden Komponenten gestört wird, können Ihre Benutzer nicht auf ihre Anwendungen zugreifen. Daher ist die Reduzierung der Anzahl von Authentifizierungsaufrufen und der Anzahl von Abhängigkeiten in diesen Aufrufen wichtig für die Resilienz. Anwendungsentwickler können eine gewisse Kontrolle darüber erlangen, wie häufig Token angefordert werden. Arbeiten Sie z. B. mit Ihren Entwicklern zusammen, um sicherzustellen, dass sie nach Möglichkeit verwaltete Identitäten für Azure-Ressourcen für ihre Anwendungen verwenden.
In einem tokenbasierten Authentifizierungssystem wie Microsoft Entra ID muss die Anwendung eines Benutzers (der Client) ein Sicherheitstoken aus dem Identitätssystem abrufen, bevor auf eine Anwendung oder eine andere Ressource zugegriffen werden kann. Während der Gültigkeitsdauer kann ein Client das gleiche Token mehrmals verwenden, um auf die Anwendung zuzugreifen.
Wenn das Token, das für die Anwendung bereitgestellt wird, abläuft, weist die Anwendung das Token zurück, und der Client muss ein neues Token von Microsoft Entra ID abrufen. Zur Beschaffung eines neuen Tokens ist ggf. ein Benutzereingriff erforderlich, z. B. das Angeben von Anmeldeinformationen oder die Erfüllung von anderen Anforderungen des Authentifizierungssystems. Indem die Häufigkeit von Authentifizierungsaufrufen durch die Nutzung von Token mit längerer Lebensdauer reduziert wird, wird die Anzahl von unnötigen Interaktionen verringert. Sie müssen jedoch die Lebensdauer des Tokens gegen das Risiko abwägen, das durch weniger Richtlinienauswertungen entsteht. Weitere Informationen zum Verwalten der Tokenlebensdauer finden Sie in diesem Artikel zum Optimieren von Eingabeaufforderungen für erneute Authentifizierung.
Möglichkeiten zum Verbessern der Resilienz
Die folgende Abbildung zeigt sechs konkrete Möglichkeiten, die Resilienz zu steigern. Jede Methode wird ausführlich in den Artikeln erläutert, die im folgenden Abschnitt „Nächste Schritte“ dieses Artikels genannt werden.
Nächste Schritte
Resilienzressourcen für Administratoren und Architekten
- Erzielen von Resilienz durch die Verwaltung von Anmeldeinformationen
- Erzielen von Resilienz mithilfe des Gerätestatus
- Erzielen von Resilienz durch die Nutzung fortlaufender Zugriffsevaluierung (Continuous Access Evaluation, CAE)
- Erzielen von Resilienz bei der externen Benutzerauthentifizierung
- Erzielen von Resilienz bei der Hybridauthentifizierung
- Erzielen von Resilienz beim Anwendungszugriff mit dem Anwendungsproxy